04密鑰分配與管理

第4講密鑰分配與管理王志偉博士計(jì)算機(jī)學(xué)院信息安全系z(mì)hwwang@2024/5/14南京郵電大學(xué)2本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2024/5/14南京郵電大學(xué)3密碼學(xué)方法應(yīng)用舉例-PGPPGP(PrettyGoodPrivacy),是一個(gè)基于公鑰加密體系的郵件加密軟件加密-防止非授權(quán)者閱讀簽名-確信郵件不是偽造的把公鑰體制的方便與私鑰體制的高速相結(jié)合2024/5/14南京郵電大學(xué)4PGP的原理首先產(chǎn)生一對(duì)鑰匙一個(gè)私鑰，一個(gè)公鑰傳送一封保密郵件時(shí)，首先取得對(duì)方的公鑰，再利用對(duì)方的公鑰加密對(duì)方收到加密后的郵件后，利用相應(yīng)的私鑰來(lái)解密還可以只簽名而不加密2024/5/14南京郵電大學(xué)5密鑰管理問(wèn)題的提出公鑰比私鑰的發(fā)布要方便很多，但仍然存在安全性問(wèn)題例如張三的公鑰被篡改防范方法直接從張三那得到公鑰通過(guò)共同的朋友王五由一個(gè)大家普遍信任的“認(rèn)證權(quán)威”由多人簽名的公鑰收集起來(lái)，放到公共場(chǎng)合，希望大部分人至少認(rèn)識(shí)其中的一個(gè)……公鑰的安全性問(wèn)題是PGP安全問(wèn)題的核心2024/5/14南京郵電大學(xué)6本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2024/5/14南京郵電大學(xué)7目前，大部分加密算法都已經(jīng)公開(kāi)了，像DES和RSA等加密算法甚至作為國(guó)際標(biāo)準(zhǔn)來(lái)推行。因此明文的保密在相當(dāng)大的程度上依賴(lài)于密鑰的保密。在現(xiàn)實(shí)世界里，密鑰的分配與管理一直是密碼學(xué)領(lǐng)域較為困難的部分。設(shè)計(jì)安全的密鑰算法和協(xié)議是不容易的，但可以依靠大量的學(xué)術(shù)研究。相對(duì)來(lái)說(shuō)，對(duì)密鑰進(jìn)行保密更加困難。因而，如何安全可靠、迅速高效地分配密鑰，如何管理密鑰一直是密碼學(xué)領(lǐng)域的重要問(wèn)題。密鑰分配與管理要使常規(guī)加密有效地進(jìn)行，信息交互的雙方必須共享一個(gè)密鑰，并且這個(gè)密鑰還要防止被其他人獲得。要使公開(kāi)加密有效地進(jìn)行，信息接收的一方必須發(fā)布其公開(kāi)密鑰，同時(shí)要防止其私有密鑰被其他人獲得。2024/5/14南京郵電大學(xué)8密鑰分配的四種方法(1)密鑰可以由A選定，然后通過(guò)物理的方法安全地傳遞給B。(2)密鑰可以由可信任的第三方C選定，然后通過(guò)物理的方法安全地傳遞給A和B。

上述方法由于需要對(duì)密鑰進(jìn)行人工傳遞，對(duì)于大量連接的現(xiàn)代通信而言，顯然不適用。

(3)如果A和B都有一個(gè)到可信任的第三方C的加密連接，那么C就可以通過(guò)加密連接將密鑰安全地傳遞給A和B。

采用的是密鑰分配中心技術(shù)，可信任的第三方C就是密鑰分配中心KDC(keydistributecenter)，常常用于常規(guī)加密密鑰的分配。2024/5/14南京郵電大學(xué)9(4)如果A和B都在可信任的第三方發(fā)布自己的公開(kāi)密鑰，那么它們都可以用彼此的公開(kāi)密鑰加密進(jìn)行通信。

采用的是密鑰認(rèn)證中心技術(shù)，可信任的第三方C就是證書(shū)授權(quán)中心CA(certificateauthority)，更多用于公開(kāi)加密密鑰的分配。主要講(3)KDC(4)CA方式2024/5/14南京郵電大學(xué)10常規(guī)加密密鑰的分配1.集中式密鑰分配方案由一個(gè)中心節(jié)點(diǎn)或者由一組節(jié)點(diǎn)組成層次結(jié)構(gòu)負(fù)責(zé)密鑰的產(chǎn)生并分配給通信的雙方，在這種方式下，用戶(hù)不需要保存大量的會(huì)話密鑰，只需要保存同中心節(jié)點(diǎn)的加密密鑰，用于安全傳送由中心節(jié)點(diǎn)產(chǎn)生的即將用于與第三方通信的會(huì)話密鑰。這種方式缺點(diǎn)是通信量大，同時(shí)需要較好的鑒別功能以鑒別中心節(jié)點(diǎn)和通信方。目前這方面的主流技術(shù)是密鑰分配中心KDC技術(shù)。我們假定每個(gè)通信方與密鑰分配中心KDC之間都共享一個(gè)惟一的主密鑰，并且這個(gè)惟一的主密鑰是通過(guò)其他安全的途徑傳遞的。2024/5/14南京郵電大學(xué)11AKDC：IDa||IDb||N1KDC

A：EKa[Ks

||IDa||IDb||N1||EKb[Ks||IDa]]AB：

EKb[Ks||IDa]BA：

EKs[N2]AB：

EKs[f（N2）]密鑰分配中心KDC的密鑰分配方案2024/5/14南京郵電大學(xué)12N1N2

Nonce現(xiàn)時(shí)實(shí)際上，到第(3)步已經(jīng)完成密鑰的分配過(guò)程，通信的雙方已經(jīng)共享了當(dāng)前的會(huì)話密鑰Ks，第(4)步和第(5)步完成的是鑒別功能。2024/5/14南京郵電大學(xué)13問(wèn)題單個(gè)密鑰分配中心KDC無(wú)法支持大型的通信網(wǎng)絡(luò)。每?jī)蓚€(gè)可能要進(jìn)行安全通信的終端都必須同某個(gè)密鑰分配中心共享主密鑰。當(dāng)通信的終端數(shù)量很大時(shí)，將出現(xiàn)這樣的情況：每個(gè)終端都要同許多密鑰分配中心共享主密鑰，增加了終端的成本和人工分發(fā)密鑰分配中心和終端共享的主密鑰的成本。需要幾個(gè)特別大的密鑰分配中心，每個(gè)密鑰分配中心都同幾乎所有終端共享主密鑰。然而各個(gè)單位往往希望自己來(lái)選擇或建立自己的密鑰分配中心。2024/5/14南京郵電大學(xué)14解決辦法為解決這種情況，同時(shí)支持沒(méi)有共同密鑰分配中心的終端之間的密鑰信息的傳輸，我們可以建立一系列的密鑰分配中心，各個(gè)密鑰分配中心之間存在層次關(guān)系。各個(gè)密鑰分配中心按一定的方式進(jìn)行協(xié)作，這樣，一方面主密鑰分配所涉及的工作量減至最少，另一方面也可以使得某個(gè)KDC失效時(shí)，只影響其管轄的區(qū)域，而不至于影響整個(gè)網(wǎng)絡(luò)。2024/5/14南京郵電大學(xué)15分散式密鑰分配方案使用密鑰分配中心進(jìn)行密鑰的分配要求密鑰分配中心是可信任的并且應(yīng)該保護(hù)它免于被破壞。如果密鑰分配中心被第三方破壞，那么所有依靠該密鑰分配中心分配會(huì)話密鑰進(jìn)行通信的所有通信方將不能進(jìn)行正常的安全通信。如果密鑰分配中心被第三方控制，那么所有依靠該密鑰分配中心分配會(huì)話密鑰進(jìn)行進(jìn)信的所有通信方之間的通信信息將被第三方竊聽(tīng)到。2024/5/14南京郵電大學(xué)16如果我們把單個(gè)密鑰分配中心分散成幾個(gè)密鑰分配中心，將會(huì)降低這種風(fēng)險(xiǎn)。更進(jìn)一步，我們可以把幾個(gè)密鑰分配中心分散到所有的通信方，也就是說(shuō)每個(gè)通信方自己保存同其他所有通信方的主密鑰。這種分散式密鑰分配方案要求有n個(gè)通信方的網(wǎng)絡(luò)要保存多達(dá)[n(n一1)/2]個(gè)主密鑰。對(duì)于較大的網(wǎng)絡(luò)，這種方案是不適用的，但對(duì)于一個(gè)小型網(wǎng)絡(luò)或者一個(gè)大型網(wǎng)絡(luò)的局部范圍，這種分散化的方案還是有用的。2024/5/14南京郵電大學(xué)17分散式密鑰分配方案發(fā)起方響應(yīng)方（1）（2）（3）AB：IDa||N1BA：EMKm[Ks||IDa||IDb||f(N1)||N2]AB：EKs[f(N2)]2024/5/14南京郵電大學(xué)18分散式密鑰分配具體步驟1)AB：IDa||N1A給B發(fā)出一個(gè)要求會(huì)話密鑰的請(qǐng)求，報(bào)文內(nèi)容包括A的標(biāo)識(shí)符IDa和一個(gè)現(xiàn)時(shí)N1，告知A希望與B進(jìn)行通信，并請(qǐng)B產(chǎn)生一個(gè)會(huì)話密鑰用于安全通信。2024/5/14南京郵電大學(xué)19分散式密鑰分配具體步驟(2)BA：EMKm[Ks||IDa||IDb||f(N1)||N2]B使用—個(gè)用A和B之間共享的主密鑰加密的報(bào)文進(jìn)行響應(yīng)。響應(yīng)的報(bào)文包括B產(chǎn)生的會(huì)話密鑰、A的標(biāo)識(shí)符IDa、B的標(biāo)識(shí)符IDb、f(N1)的值和另一個(gè)現(xiàn)時(shí)N2

。(3)AB：EKs[f(N2)]A使用B產(chǎn)生的會(huì)話密鑰Ks對(duì)f(N2)進(jìn)行加密，返回給B。2024/5/14南京郵電大學(xué)20每個(gè)通信方都必須保存多達(dá)(n一1)個(gè)主密鑰，但是需要多少會(huì)話密鑰就可以產(chǎn)生多少。同時(shí)，使用主密鑰傳輸?shù)膱?bào)文很短，所以對(duì)主密鑰的分析也很困難。2024/5/14南京郵電大學(xué)21公開(kāi)加密密鑰的分配公開(kāi)加密密鑰的分配要求和常規(guī)加密密鑰的分配要求有著本質(zhì)的區(qū)別。公開(kāi)密鑰技術(shù)使得密鑰較易分配，但它也有自己的問(wèn)題。無(wú)論網(wǎng)絡(luò)上有多少人，每個(gè)人只有一個(gè)公開(kāi)密鑰。獲取一個(gè)人的公開(kāi)密鑰有如下四種途徑：2024/5/14南京郵電大學(xué)22四種方式公開(kāi)密鑰的公開(kāi)宣布公開(kāi)可用目錄公開(kāi)密鑰管理機(jī)構(gòu)公開(kāi)密鑰證書(shū)

2024/5/14南京郵電大學(xué)23四種方式1.公開(kāi)密鑰的公開(kāi)宣布公開(kāi)密鑰加密的關(guān)鍵就是公開(kāi)密鑰是公開(kāi)的。任何參與者都可以將他的公開(kāi)密鑰發(fā)送給另外任何一個(gè)參與者，或者把這個(gè)密鑰廣播給相關(guān)人群，比如PGP(prettygoodprivacy)。 致命的漏洞：任何人都可以偽造一個(gè)公開(kāi)的告示，冒充其他人，發(fā)送一個(gè)公開(kāi)密鑰給另一個(gè)參與者或者廣播這樣—個(gè)公開(kāi)密鑰。2024/5/14南京郵電大學(xué)24四種方式2.公開(kāi)可用目錄 由一個(gè)可信任的系統(tǒng)或組織負(fù)責(zé)維護(hù)和分配一個(gè)公開(kāi)可以得到的公開(kāi)密鑰動(dòng)態(tài)目錄。公開(kāi)目錄為每個(gè)參與者維護(hù)一個(gè)目錄項(xiàng){標(biāo)識(shí)，公開(kāi)密鑰}，當(dāng)然每個(gè)目錄項(xiàng)的信息都必須經(jīng)過(guò)某種安全的認(rèn)證。任何其他方都可以從這里獲得所需要通信方的公開(kāi)密鑰。

致命的弱點(diǎn)：如果一個(gè)敵對(duì)方成功地得到或者計(jì)算出目錄管理機(jī)構(gòu)的私有密鑰，就可以偽造公開(kāi)密鑰，并發(fā)送給其他人達(dá)到欺騙的目的。2024/5/14南京郵電大學(xué)25四種方式3.公開(kāi)密鑰管理機(jī)構(gòu)通過(guò)更嚴(yán)格地控制公開(kāi)密鑰從目錄中分配出去的過(guò)程就可以使得公開(kāi)密鑰的分配更安全。它比公開(kāi)可用目錄多了公開(kāi)密鑰管理機(jī)構(gòu)和通信方的認(rèn)證以及通信雙方的認(rèn)證。在公開(kāi)密鑰管理機(jī)構(gòu)方式中，有一個(gè)中心權(quán)威機(jī)構(gòu)維持著一個(gè)有所有參與者的公開(kāi)密鑰信息的公開(kāi)目錄，而且每個(gè)參與者都有一個(gè)安全渠道得到該中心權(quán)威機(jī)構(gòu)的公開(kāi)密鑰，而其對(duì)應(yīng)的私有密鑰只有該中心權(quán)威機(jī)構(gòu)才持有。

這樣任何通信方都可以向該中心權(quán)威機(jī)構(gòu)獲得他想要得到的其他任何一個(gè)通信方的公開(kāi)密鑰，通過(guò)該中心權(quán)威機(jī)構(gòu)的公開(kāi)密鑰便可判斷它所獲得的其他通信方的公開(kāi)密鑰的可信度。2024/5/14南京郵電大學(xué)26四種方式4.公開(kāi)密鑰證書(shū)公開(kāi)密鑰管理機(jī)構(gòu)往往會(huì)成為通信網(wǎng)絡(luò)中的瓶頸。如果不與公開(kāi)密鑰管理機(jī)構(gòu)通信，又能證明其他通信方的公開(kāi)密鑰的可信度，那么既可以解決公開(kāi)宣布和公開(kāi)可用目錄的安全問(wèn)題，又可以解決公開(kāi)密鑰管理機(jī)構(gòu)的瓶頸問(wèn)題，這可以通過(guò)公開(kāi)密鑰證書(shū)來(lái)實(shí)現(xiàn)。目前，公開(kāi)密鑰證書(shū)即數(shù)字證書(shū)是由證書(shū)授權(quán)中心CA頒發(fā)的。2024/5/14南京郵電大學(xué)27CA作為網(wǎng)絡(luò)通信中受信任的第三方，承擔(dān)檢驗(yàn)公開(kāi)密鑰的合法性的責(zé)任。CA中心為每個(gè)使用公開(kāi)密鑰的用戶(hù)發(fā)放一個(gè)數(shù)字證書(shū)（經(jīng)CA簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件），數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶(hù)合法擁有證書(shū)中列出的公開(kāi)密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū)。證書(shū)的格式遵循X.509標(biāo)準(zhǔn)。2024/5/14南京郵電大學(xué)28

數(shù)字證書(shū)采用公開(kāi)密鑰體制，即利用一對(duì)匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶(hù)自己設(shè)定一把僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公開(kāi)密鑰并由本人公開(kāi)，為一組用戶(hù)所共享，用于加密和驗(yàn)證簽名。證書(shū)授權(quán)中心CA的公開(kāi)密鑰證書(shū)方案參見(jiàn)P111圖8.32024/5/14南京郵電大學(xué)29公開(kāi)密鑰加密進(jìn)行常規(guī)加密密鑰分配由于公開(kāi)密鑰加密和解密的速度都相當(dāng)慢，所以公開(kāi)密鑰加密更多的時(shí)候是用于常規(guī)加密密鑰的分發(fā)。這種方式把公開(kāi)加密和常規(guī)加密的優(yōu)點(diǎn)很好地整合在一起。保證了常規(guī)加密密鑰的安全性。用常規(guī)加密方法來(lái)保護(hù)傳送的數(shù)據(jù)，由于其加密密鑰是安全的，因而其傳送的數(shù)據(jù)也是安全的，同時(shí)也利用了常規(guī)加密速度快的特點(diǎn)，因而這種方法有很強(qiáng)的適應(yīng)性。2024/5/14南京郵電大學(xué)30公開(kāi)密鑰加密進(jìn)行常規(guī)加密密鑰分配發(fā)起方A響應(yīng)方B（1）EKUb[N1||IDa]（2）EKUa[N1||N2]（3）EKUb[N2]（4）EKUb[EKRa[Ks]]2024/5/14南京郵電大學(xué)31具體步驟假定通信的雙方A和B已經(jīng)通過(guò)某種方法得到對(duì)方的公開(kāi)密鑰，常規(guī)加密密鑰分發(fā)過(guò)程如下步驟所示：

(1)AB：EKUb[N1||IDa]

A使用B的公開(kāi)密鑰KUb加密一個(gè)報(bào)文發(fā)給B，報(bào)文內(nèi)容包括一個(gè)A的標(biāo)識(shí)符IDa和一個(gè)現(xiàn)時(shí)值N1，該現(xiàn)時(shí)值用于惟一地標(biāo)識(shí)本次交互。2024/5/14南京郵電大學(xué)32(2)BA：EKUa[N1||N2]B返回一個(gè)用A的公開(kāi)密鑰KUa加密的報(bào)文給A，報(bào)文內(nèi)容包括A的現(xiàn)時(shí)值N1和B新產(chǎn)生的現(xiàn)時(shí)值N2。因?yàn)橹挥蠦才可以解密(1)中的報(bào)文，報(bào)文(2)中的N1存在使得A確信對(duì)方是B。2024/5/14南京郵電大學(xué)33AB：EKUb[N2] A返回一個(gè)用B的公開(kāi)密鑰KUb加密的報(bào)文給B，因?yàn)橹挥蠥才可以解密(2)中的報(bào)文，報(bào)文(3)中的N2存在使得B確信對(duì)方是A。

AB：EKUb[EKRa[Ks]]

A產(chǎn)生一個(gè)常規(guī)加密密鑰Ks，并對(duì)這個(gè)報(bào)文用A的私有密鑰KRa加密(簽名)，保證只有A才可能發(fā)送它，再用B的公有密鑰KUb加密，保證只有B才可能解讀它。2024/5/14南京郵電大學(xué)34(5)B計(jì)算DKUa[DKRb[EKUb[EKRa[Ks]]]]得到Ks， 從而獲得與A共享的常規(guī)加密密鑰，因而通過(guò)Ks可以與之安全通信。2024/5/14南京郵電大學(xué)35本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2024/5/14南京郵電大學(xué)36密鑰的管理密鑰管理機(jī)制對(duì)常規(guī)加密體制來(lái)說(shuō)，在進(jìn)行通信之前，雙方必須持有相同的密鑰，在通信過(guò)程中要防止密鑰泄密和更改密鑰。通常是設(shè)立KDC來(lái)管理密鑰，但增加了網(wǎng)絡(luò)成本，降低了網(wǎng)絡(luò)的性能。或者利用公開(kāi)密鑰加密技術(shù)來(lái)實(shí)現(xiàn)對(duì)常規(guī)密鑰的管理，此使密鑰管理變得簡(jiǎn)單，同時(shí)解決了對(duì)稱(chēng)密鑰中的可靠性和鑒別的問(wèn)題。公開(kāi)密鑰的管理通常采用數(shù)字證書(shū)。密鑰的管理涉及密鑰的生成、使用、存儲(chǔ)、備份、恢復(fù)以及銷(xiāo)毀等多個(gè)方面，涵蓋了密